Decyzja Prezesa UODO w sprawie uprawnień

W marcu 2022 r. Prezes Urzędu Ochrony Danych Osobowych wydał decyzję umarzająca postępowanie w sprawie dotyczącej zgłoszenia, w lipcu 2021 r., naruszenia ochrony danych osobowych.

Naruszenie to polegało na nieautoryzowanym dostępie do systemu informatycznego spółki, która przesłała przedmiotowe zawiadomienie.

Prezes UODO wskazując na swoje uprawnienie uzyskania od administratora i podmiotu przetwarzającego dostępu do wszelkich danych osobowych i wszelkich informacji niezbędnych organowi nadzorczemu do realizacji swoich zadań, wynikające z art. 58 ust. 1 lit. e RODO zwrócił się do spółki o:

„Proszę o przekazanie informacji, czy, a jeśli tak, to z jakimi kategoriami danych i kogo dotyczącymi osoba nieuprawniona mogła się zapoznać, skoro uzyskała dostęp do »listy naszych klientów« i »listy zamówień«, o których mowa w załączniku nr 4 do pisma administratora z dnia […] września 2021 r.

Spółka odpowiedziała, że:

W zakresie »listy naszych klientów« mogło dojść do zapoznania się z informacjami, które nie zawierały w swej treści danych osobowych, ponieważ stanowiły jedynie dane podmiotów będących osobami prawnymi – klientami Spółki […].

Odnosząc się natomiast do »listy zamówień« – mogło dojść do zapoznania się z danymi Klientów, czyli klientów administratorów powierzających Spółce dane osobowe należące do osób fizycznych będących ich klientami końcowymi. W stosunku do tych danych Spółka nie działa jako administrator, lecz jako podmiot przetwarzający, co pozostaje poza zakresem złożonego zawiadomienia, a wskazanie kategorii danych wymagałoby potwierdzenia możliwości ich przekazania przez Spółkę z Klientami

oraz wskazała, że nie ujawni listy administratorów dla których pełni rolę podmiotu przetwarzającego, gdyż:

W odpowiedzi na żądanie przedstawienia listy administratorów danych, dla których Spółka jest podmiotem przetwarzającym, Spółka wskazała m. in., że obowiązek ten [obowiązek zachowania poufności] dotyczy zazwyczaj wszelkich otrzymanych od Administratorów danych, w tym danych o samym zawarciu umów na podstawie których odbywa się współpraca jak i danych o tym, że kontrahent korzysta z usług Spółki. Spółka pragnąc wywiązać się z obowiązku zachowania poufności, w celu uniknięcia negatywnych sankcji, nie tylko prawnych i finansowych, ale także wizerunkowych nie ma możliwości udostępnienia tych danych bez uzyskania uprzedniej zgody Administratorów

lista Administratorów stanowi także prawnie chronioną tajemnicę przedsiębiorstwa Spółki (art. 11 ustawy o zwalczaniu nieuczciwej konkurencji). Informacja ta ma znaczną wartość gospodarczą dla Spółki, ponieważ stanowi bazę klientów Spółki

Subskrypcja 30 dni
Przez 30 dni masz dostęp do zaawansowanej wyszukiwarki:
129
 PLN z VAT
  • Aktualizowanej Bazy Orzeczeń Sądów i Trybunałów
  • Eksperckich tez wybranych orzeczeń
  • Decyzji Polskiego Organu Nadzorczego
  • Decyzji Europejskich Organów Nadzorczych
  • Wytycznych i Opinii EDPB oraz EDPS
  • Konkretnych argumentów w postępowaniu administracyjnym
Wybieram
Subskrypcja 360 dni
Przez 360 dni masz dostęp do wszystkich funkcjonalności subskrypcji 30 dni
1548
 PLN z VAT
  • Dedykowany newsletter zawierający najważniejsze wyroki opublikowane w danym miesiącu wraz z tezami
  • Indywidualnych konsultacji z założycielem serwisu Judykatura.pl w kwestiach związanych z RODO (3 konsultacje w ramach obowiązującej subskrypcji)
  • Oszczędność 15% względem pozostałych pakietów
Wybieram
Subskrypcja 180 dni
Przez 180 dni masz dostęp do wszystkich elementów subskrypcji 90 dni:
774
 PLN z VAT
  • Dedykowany newsletter zawierający najważniejsze wyroki opublikowane w danym miesiącu wraz z tezami
  • Indywidualną konsultację z założycielem serwisu Judykatura.pl w kwestiach związanych z RODO (1 konsultacja w ramach obowiązującej subskrypcji)
  • Oszczędność 10% względem pozostałych pakietów
Wybieram

W odpowiedzi na pytanie o kategorie danych osobowych, które ujawniała „lista zamówień” oraz o ilość osób, których dane te dotyczyły, Spółka podniosła w szczególności, że co do tych danych „Spółka nie działa jako administrator, lecz jako podmiot przetwarzający, wobec czego nie jest uprawniona do udostępnienia tego rodzaju danych bez udokumentowanego polecenia Administratorów.

W takiej sytuacji Departament Kontroli i Naruszeń Urzędu Ochrony Danych Osobowych przeprowadził w styczniu 2022 r. kontrolę zgodności przetwarzania przez spółkę danych osobowych z przepisami o ochronie danych osobowych w związku z naruszeniem ochrony danych osobowych.

W toku kontroli Spółka przedstawiła jednak kontrolującym wszystkie żądane przez nich informacje i dokumenty; zapewniła również w pełnym zakresie wgląd w swoje systemy informatyczne. W szczególności Spółka przedstawiła listę swoich klientów – podmiotów, dla których świadczy usługi związane z przetwarzaniem powierzonych jej danych osobowych. Spółka przedstawiła również informację o przetwarzanych przez nią kategoriach danych osobowych.

Zgodnie z wynikami kontroli Prezes UODO poznał zakres przetwarzanych danych, a powierzonych spółce i są to:

dane pracowników w pełnym zakresie, pracowników klientów Spółki (osoby wskazane do kontaktu w zakresie: imię, nazwisko, adres e-mail oraz ewentualnie nr telefonu), jak również dane klientów podmiotów współpracujących, tj. adresatów przesyłek w zakresie: imię, nazwisko, adres e-mail, nr telefonu, adres wysyłki

Ustalono ponadto, że „osoba, która dostała się do systemu Spółki, miała dostęp do danych pracowników wszystkich klientów, natomiast dostęp do danych wynikających z zamówień dotyczył około 20 klientów [klientów podmiotów współpracujących ze Spółką – adresatów przesyłek].”

Jeśli Prezes UODO otrzymał wszelkie żądane informację to:

niniejsze postępowanie, wszczęte po dacie uzyskania przez Prezesa UODO wszelkich niezbędnych mu (…) informacji, było od chwili jego wszczęcia bezprzedmiotowe. Jak ustalono już w toku postępowania, nie istniał bowiem w tym momencie stan faktyczny uzasadniający nałożenie na Spółkę administracyjnej kary pieniężnej za naruszenie objęte przedmiotem postępowania określonym w piśmie informującym o jego wszczęciu, to jest za naruszenie art. 58 ust. 1 lit. e) Rozporządzenia 2016/679 polegające na niezapewnieniu Prezesowi UODO dostępu do informacji niezbędnych do realizacji jego zadań.